本頁作成日: 2005年4月15日
最終更新日: 2008年4月5日

なりすまし対策: URLは “http(s)://” から表記を




このページは、現在巷で氾濫している、Webサイト(ページ)URL の“http(s)://”識別子抜き表記
の是非を問い、“絶対パス”表記を推奨するために作成されました。




このページへアクセスするための URL の絶対パス表記:
http://www.somesecure.info/sample_pages/www.sample_pages.jp/index.html


上記 URL の http://www.somesecure.info/sample_pages/ の後に付けられた、
www.sample_pages.jp/index.html (ひどい時は www.sample_pages.jp (※1))の部分は、
正に、現在巷で氾濫している、URL の“http(s)://”識別子抜き表記文字列そのものです。

このページへのアクセス成功は、
http(s)://〜Aさんの独自ドメイン・サブドメイン文字列〜/ なりすましたサイト として、
http(s)://〜第三者のサイト〜/〜Aさんの独自ドメイン・サブドメイン文字列〜/
が存在してもおかしくない、第三者が故意に作り得ることを証明しています。



ぱっと見ではよくわからないかもしれませんが、たとえば、人づてで、
Webサイト の URL を URI のルールである http(s):// からやりとりしない場合


 1.悪意のある第三者が、大手家電店であるAさんの Webコンテンツ の
   “なりすましページ”を上述のような なりすましたURL に作成する。

 2.消費者であるBさんは、Aさんの Webサイト を訪問したいが、宙吊り広告で見た
   URL が“うろ覚え”で、ブラウザに直接入力すると DNSエラー になってしまうため、
   記憶にある URL文字列 を基に Web検索 することにした。

 3.検索エンジンにてヒットした、とある Webページ に記述されている URL文字列
   Bさんの記憶と一致するため、Bさんは、その URL にアクセスすることにした。
   ページレイアウトが違和感なかったので、Bさんは、配下ページのアンケートで、
   住所・氏名・年齢・電話番号・クレジットカード番号などの個人情報
   フォームで入力・送信してしまった。

 4.実は、その Webサイト はAさんのものではなく、1項で述べた、
   悪意ある第三者の“なりすましページ”であって、その後Bさんは、
   流出した個人情報が悪用され、架空請求の被害に悩まされることになる
   (=いわゆる、フィッシング詐欺)。


といった伏兵、トラブルの発生を想定することができるでしょう。
こういう渡し方は、Cookieのセキュア属性を付ける・付けない以前の問題ですね。


      URI 規約上で、URL はその文字列の先頭に http(s):// を付けることで定義される
      ことになっています。但しそれが至極当たり前であるので、ほとんどのWebブラウザでは、    
      文字列 http:// を省略してアドレスバーに入力しても、それを補って動作するように
      作られています。このメカニズムの説明を端折って、“http(s)://”抜きで渡すことは    
      とても危険であると考えられます(Webブラウザには、ユーザ個々のニーズによって
      Web検索などの拡張機能がアドインされる可能性があり、渡された URL がアドレスバーに    
      直接入力されるとは限らない。そこを付け狙われる可能性がある。これに特化した、
      いわゆる、“なりすまし”プラグイン(アドウェアか?)も WWW上には多数あるので注意要)。    





以上のことより:

  Webサイト の管理者の方へ

    いわゆる、フィッシング詐欺対策・なりすまし対策のため、
    広告等で Webサイト(ページ)URL を記載する場合は、識別子を含めた、
    http(s)://〜 から始まる“絶対パス”表記をすることを強くお勧めします。

    例えば、ショッピングカートをお持ちのWebサイトも多々おありでしょう。
    そういった時など、“http(s)://”識別子付き表記で渡していかないと、
    SSL通信さえ、何の意味もなくなってしまうのではありませんか?
    なりすましの途中から案内されるSSL通信の無意味さを想像してください

    会社方針(?)等で、どうしても“http(s)://”抜き表記をせざるを得ない場合は、
    訪問者のために、URL の“絶対パス”を傍記することを強くお勧めします。


説明図


 

    ※1
     パス区切り文字“/”を省略してしまうと、www.sample_pages.jp はひとつのサイトなのか、それとも
     拡張子の概念がないコンピュータが作成したファイルなのかが訪問者には判断できなくなります。
     訪問者のセキュリティを脅かすことになりかねませんが、これはWeb検索と組み合わせることで
     さらに複雑な問題になってしまう可能性があります




  Webサイト を訪問する側の方へ

    いわゆる、フィッシング詐欺対策・なりすまし対策のため、
    初めて訪問する Webサイト は、その URL を、http(s):// から始まる“絶対パス”で
    調べてからアクセスするようにしましょう。

    『なりすまし対策のため』と断っても“絶対パス”を教えてもらえないサイトは、
    訪問者のことを第一に考えていないサイトなのかもしれません。
    (その場合、訪問者なくして、何のための Webサイト なのでしょうか?)

    また、言うまでもないですが、個人情報の Webフォーム への入力・送信の際は
    SSL通信 は当然のこととして、そのサイトの個人情報取扱への考え方である、
    “プライバシ・ポリシー”を十分に確認するようにしましょう




  その他ご参考:

    リンク先は当サイト外です。 computerworld.jp より:
      日本のユーザーを狙う「フィッシング詐欺」の狡猾な手口
      「URL偽装型」がついに日本上陸。エンドユーザーを守る手だてはあるのか!?
      http://www.computerworld.jp/news/sec/15082-1.html


    リンク先は当サイト外です。 Microsoft Security/ 最新のセキュリティ インシデント より:
      マイクロソフトのセキュリティに関連するメッセージが本物であるかどうか確認する方法
      http://www.microsoft.com/japan/security/incident/authenticate_mail.mspx


    リンク先は当サイト外です。 World Wide Web Consortium より:
      Uniform Resource Locators (URL)
      http://www.w3.org/addressing/url/url-spec.txt




  関連
     なりすまし対策: 自サイトは「検索してください」で誘導しない







目次へ戻る